La cada vez más extendida adopción de servicios en la nube ha dado lugar a nuevos retos de ciberseguridad. Las organizaciones comienzan a hacer uso de servicios localizados y gestionados por infraestructuras externas, con lo que eso supone en cuanto a riesgos telemáticos.
Uno de los conceptos que toma mayor protagonismo en los últimos tiempos es el que se recoge bajo las siglas de CASB —Cloud Access Security Broker. Pero…
¿Qué es un CASB?
La respuesta puede ser tan sencilla o compleja como queramos. De forma resumida podríamos decir que un CASB es un dispositivo o aplicación que se ubica entre los usuarios de los servicios y las aplicaciones en la nube, y monitoriza la actividad entre ambas partes haciendo cumplir las políticas de seguridad definidas por la organización. En definitiva, y de forma simplista, podríamos decir que se trata de un firewall para los servicios en la nube.
Los CASB protegen a una organización del intento de acceso de usuarios no autorizados a servicios que la compañía tiene localizados en la nube; restringen el acceso a determinadas aplicaciones e informan del uso inadecuado que un usuario irresponsable pueda estar haciendo de los datos que la compañía tiene alojados fuera de sus infraestructuras.
¿Cuál es el mercado?
El mercado de los CASB crece de manera exponencial, tal y como indican los informes de las grandes consultoras. Las razones para un futuro tan prometedor se encuentran en la progresiva adopción de servicios compartidos, el creciente entorno regulatorio al que los sistemas de información se ven sometidos y la proliferación en el uso cotidiano de dispositivos externos para el acceso a los servicios —BYOD.
En 2018, cerca de un 20% de las grandes compañías tenían implantado un sistema CASB para la gestión de una parte de sus servicios en la nube. Una gestión que actualmente incluye (1) la supervisión de los usuarios y dispositivos que acceden a sus servicios, (2) el control y la seguridad de los datos que utilizan, (3) la protección frente a amenazas de cualquier usuario, dispositivo o aplicación y (4) el soporte a actividades de cumplimiento normativo a través de informes y controles de riesgo.
Arquitecturas de un CASB
Un CASB habitualmente se proporciona en modo SaaS —en consonancia con los servicios que debe gestionar—, aunque casi siempre debe ir acompañado de un entorno virtual o físico localizado en las oficinas del cliente.
Habitualmente se configura de dos formas diferentes: Proxy inverso (Reverse Proxy) o Proxy directo (Forward proxy). Cada una de estas configuraciones tiene sus particularidades.
Proxy inverso
Cuando el CASB actúa como proxy inverso su función de intermediación con cualquier servicio que la organización tenga instalado en forma de nube se articula a través de un sistema de Gestión de Identidad (IdM) que mueve el tráfico entre la nube y el usuario/dispositivo en función de la autenticación de los servicios y los privilegios asignados, sin que sea necesaria la instalación de ningún elemento en el equipo que hace uso de la conexión (ver figura abajo).
El problema fundamental de este tipo de configuraciones se encuentra en lo que se define como el Shadow SaaS o servicios en la nube no controlados por la organización.
Al igual que existen empleados que instalan aplicaciones en dispositivos de la empresa sin su conocimiento y control —es lo que históricamente ha venido definiéndose como Shadow IT— también existen empleados que hacen uso de servicios en nube que están fuera del control de la organización, lo que ocasiona no pocos problemas de seguridad.
Proxy directo
Un modo alternativo de configuración es el modelo de arquitectura basado en proxy directo. Bajo este modelo se encamina el tráfico a través de (a) un gateway que la red del cliente tiene desplegado y que se conectará al servicio de CASB, o (b) a través de la configuración de los dispositivos que acceden a los servicios a la nube mediante la instalación de un agente, tal y como se muestra en la siguiente figura.
Este modo de configuración resuelve el problema del Shadow SaaS, aunque tiene otras implicaciones en cuanto a flexibilidad de uso por la necesidad de instalar elementos adicionales en todos los dispositivos que interactúan con los servicios en la nube.
Integración API
Existe un tercer modo de configuración. En él intervienen los propios servicios en la nube a través de la integración de sus mecanismos de seguridad y control con el CASB a través de un API de conexión con los servicios externalizados.
Así se consigue auditar las actividades de los usuarios, inspeccionar contenidos, analizar privilegios o la configuración de seguridad de aplicaciones utilizando los servicios del proveedor.
Por último, y al igual que muchas otras configuraciones de redes, el CASB podrá configurarse para actuar como recolector de logs para su análisis a través de una sencilla modificación en la infraestructura del cliente, habilitándolo para la identificación de posibles eventos de seguridad frente a auditorías o para análisis forense.
Configuración de un CASB
A la hora de configurar un CASB para dar servicios a aplicaciones alojadas en la nube resulta indispensable diferenciar entre centros, subredes o incluso servicios . En función de su tipología, las recomendaciones de nodos o instancias de CASB que deberían habilitarse pueden ser diferentes.
Antes de plantearlo, conviene diferenciar los tipos de servicios que podemos encontrarnos en la nube. Vamos a clasificarlos en tres categorías:
- Servicios públicos. Llamaremos públicos a aquellos servicios que solo son accesibles desde Internet y que por tanto están desconectados de cualquier servicio corporativo de la organización. Un buen ejemplo de este tipo de servicios públicos podría ser un servidor Web hospedado en un proveedor externo.
- Servicios internos. Se trata de servicios que, aunque están alojados en un proveedor de nube, solo se prestan a infraestructuras gestionadas por recursos corporativos. Entre esos servicios, pueden estar otros servicios alojados en una nube. Un buen ejemplo podría ser una aplicación hospedada en la nube que tuviera conexión con una base de datos también alojada en la nube. En muchos de los casos, este es el tipo de servicio más habitual.
- Servicios mixtos. Servicios accesibles desde fuera de la red corporativa interna que pueden o deben conectarse a servicios internos de la organización. Un claro ejemplo de esta situación puede ser una aplicación web que consulta datos alojados en una base de datos interna de la compañía.
Una vez establecida esta nomenclatura, nos encontraremos que la configuración más apropiada para el uso de una arquitectura CASB podría ser la siguiente.
El CASB-1 se encarga de controlar y gestionar las conexiones que proviene del exterior. Estos pueden corresponderse con servicios mixtos que acceden a recursos corporativos internos.
El CASB-2 responde de la seguridad de aquellos servicios que son completamente privados. Servicios que solo son accesibles a través de la red corporativa, pese a estar situados en la nube.
En conjunto, ambas instancias deberán ser gestionadas de forma coordinada para establecer un modelo común y coherente respecto a todos los servicios proporcionados desde la nube.
Productos comerciales
Las herramientas que existen en el mercado para el despliegue de CASB son múltiples y variadas. Y su tendencia no hace sino crecer, en consonancia con el número de aplicaciones que ofrecen los proveedores de servicios en nube. Gartner ha incluido dentro de su último análisis de 2019 a una decena de ellas.
Conclusión
Los CASB ofrecen funcionalidades de seguridad relacionadas con la visibilidad de usuarios, los dispositivos y los servicios utilizados por una organización en la nube (gestores de contenidos, aplicaciones de RRHH y ofimática, ERP, herramientas de Call Center…). Asimismo, blindan el acceso a los datos de acuerdo los privilegios que los usuarios tienen asignados. Incluso proporcionan mecanismos de protección ante amenazas, provengan estas de usuarios o dispositivos no autorizados. Y por supuesto, reportan información sobre los niveles de riesgos asumidos por la compañía. En definitiva, afrontan de forma global la problemática de la seguridad de estos nuevos entornos.
En este escenario, solo habrá que esperar a ver el próximo paso del mercado; cuando la competencia se acentúe y el conocimiento sobre sus servicios actúe como catalizador. Posiblemente descubramos que se hacen tan populares como los firewalls tradicionales.
